Proteção de dados pessoais: um plano viável de adequação da governança de dados à LGPD em empresas de pequeno porte

(1)

ALEXANDRE PEREIRA LESSA

PROTEÇÃO DE DADOS PESSOAIS:

UM PLANO VIÁVEL DE ADEQUAÇÃO DA GOVERNANÇA DE DADOS À LGPD EM EMPRESAS DE PEQUENO PORTE

Palhoça 2020

(2)

Relatório de pesquisa na modalidade de Estudo de Caso apresentado ao Curso de Tecnólogo

em Gestão da Tecnologia da Informação da

Universidade do Sul de Santa Catarina, como requisito parcial à aprovação na unidade de aprendizagem de Estudo de Caso.

Orientador: Prof. Nilce Miranda Ayres, Me.

Palhoça 2020

(3)

Este trabalho de pesquisa na modalidade de Estudo de Caso foi julgado adequado, em sua forma final, à aprovação na unidade de aprendizagem de Estudo de Caso, do curso de

Tecnólogo em Gestão da Tecnologia da Informação da Universidade do Sul de Santa

Catarina.

Palhoça, 16 de novembro de 2020.

______________________________________________________ Professor e orientador Prof. Nilce Miranda Ayres, Me.

(4)

AGRADECIMENTOS

Agradeço a todos que participaram e me ajudaram de uma forma direta e/ou indiretamente, meus familiares, amigos, colegas de trabalho e aos professores e colaboradores da UNISUL.

(5)

RESUMO

Neste estudo de caso são analisados os desafios da implantação da Governança dos dados de pessoas físicas em um contexto de uma empresa de pequeno porte onde se busca analisar como a Governança de Dados pode auxiliar uma empresa de pequeno porte na organização dos dados pessoais para o planejamento e cumprimento da LGPD por meio de pesquisa exploratória guiada por entrevistas como instrumento de coleta de dados. Verifica-se uma empresa em fase inicial de adequação a legislação de proteção de dados pessoais, e engajamento parcial de suas áreas de negócios a adoção da governança de dados. O estudo mostra que empresas de pequeno porte podem se beneficiar da governança de dados, desde que consiga equilibrar a sua adoção à quantidade de recurso disponível na empresa.

(6)

SUMÁRIO 1 INTRODUÇÃO ...6 1.1 PROBLEMA ...7 1.2 JUSTIFICATIVA ...7 1.3 OBJETIVOS ...9 1.3.1 Objetivo Geral ...9 1.3.2 Objetivos Específicos ...9 2 REVISÃO DA LITERATURA ...10

2.1 DEFINIÇÃO DE DADO, INFORMAÇÃO, CONHECIMENTO E DADO PESSOAL ...10

2.2 LEI GERAL DE PROTEÇÃO DE DADOS ...10

2.3 GESTÃO E GOVERNANÇA DE DADOS ...12

2.3.1 Conceituação de Gestão ...13

2.3.2 Conceituação de Governança ...13

2.3.3 Gestão e Governança de Dados ...14

2.3.3.1 Gestão de Dados ...14

2.3.3.2 Governança de Dados ...15

3 PROCEDIMENTOS METODOLÓGICOS ...16

3.1 CARACTERIZAÇÂO DO ESTUDO...16

3.2 CAMPO DE ESTUDO ...16

3.3 INSTRUMENTOS PARA COLETA DE DADOS ...17

4 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS ...18

4.1 ETAPAS DO CICLO DE VIDA DOS DADOS PESSOAIS ...18

4.2 SITUAÇÃO ATUAL DE GOVERNANÇA DE DADOS ...23

4.3 ANÁLISE DOS RESULTADOS ...30

4.3.1 ANÁLISE DO CICLO DE VIDA DOS DADOS PESSOAIS. ...30

4.3.2 ANÁLISE DA SITUAÇÃO ATUAL DE GOVERNANÇA DE DADOS. ...31

4.3.3 OPORTUNIDADES E MELHORIAS NA ORGANIZAÇÃO. ...31

REFERÊNCIAS ...33

APÊNDICES ...34

APÊNDICE A – Formulário de Entrevista - Ciclo de Vida dos Dados Pessoais ...34

APÊNDICE B – Formulário de Entrevista – Visão da Gestão sobre Governança de Dados ...35

(7)

1 INTRODUÇÃO

O dado tornou-se o petróleo da nova economia, gerado em grande quantidade dentro e fora das organizações sendo utilizado para resolver problemas de negócios e auxiliar na tomada de decisões. As organizações na execução de seus negócios, nos seus processos e sistema transicionais geram grandes quantidades de dados e quando se integram a rede mundial por meio de redes sociais, redes de dispositivos, transações online, grande quantidade de dados é gerado, em grande variedade, e, em grande

velocidade, nos levando ao conceito do Big Data. Outros negócios têm sua existência no digital e prosperam com uso massivo dos dados e da análise deles. De acordo com o Instituto Gartner (NAVITA, 2019), até o final de 2020 é possível que haja um total de 40 trilhões de gibabytes de dados no mundo.

Nesta vastidão de dados, um grupo de dados relacionam-se a pessoa natural identificando-as ou se fazendo identificável em seus pensamentos, crenças, sobre sua etnia, gostos e preferências, corpo e saúde. Para a proteção dos direitos individuais das pessoas, diversas leis ao redor do mundo vem sendo criadas e aplicadas, como na Europa a GDPR (General Data Protection Regulation) que após mais de quatro anos de deliberações, em abril de 2016, foi finalmente aprovada como o regulamento 16/679 e que entrou em eficácia plena em 25.05.2018 (MALDONADO, 2019). Em uma mesma direção o Brasil através da Lei nº 13.709 de 14 de agosto de 2019 traz a regulamentação conhecida como Lei Geral de Proteção de Dados Pessoas (LGPD) e que passou a vigorar em 26.08.2020 (Assessoria de Impressa do Senado Nacional, 2020). Neste cenário toda e qualquer pessoa física ou jurídica que controle ou opere dados de pessoa natural estão submetidas às diretrizes e sanções impostas pela LGPD que passarão a valer em 01.08.2021 com penalidades que vão de advertência à pesadas multas que podem chegar a 2% do faturamento de uma empresa e limitada a 50 milhões de Reais por descumprimento, sem contar com a publicidade negativa que poderá trazer.

(8)

Sobre o cenário onde vazamento, perdas e roubo de dados desafiam a segurança da informação e Cibernética e onde as organizações com seus pipelines de dados e processamento sustentam suas operações e negócios onde se misturam com os dados pessoais e que devem observar e garantir a correta utilização nos termos da lei, é onde as boas práticas e frameworks de gestão e de governança de dados apoiam as empresas. As pequenas empresas têm o desafio de organizar os seus dados em acordo com LGPD alinhando à Governança de dados e buscando aprimorar as práticas e adequada proteção dos ativos de dados e o correto acesso e uso.

Neste contexto esta pesquisa tem como tema os desafios da implantação da Governança dos dados de pessoas físicas em um contexto de uma empresa de pequeno porte.

1.1 PROBLEMA

Quais são os desafios da implantação da Governança dos dados de pessoas físicas no contexto de uma empresa de pequeno porte?

1.2 JUSTIFICATIVA

A escolha do estudo leva em conta a grande quantidade de dados

processados pelas organizações, mesmo que pequenas empresas e tem o direcionamento de construção e controle em muito pautado pela tecnologia e pelo crescimento baseado nas aplicações e em processos.

Ensina Maldonado (2019, p. 45, 46):

[...] que na fase de preparação de pequenas e médias empresas o risco relacionado ao tema de privacidade e proteção de dados, em geral alguns casos, não é proporcional ao porte da empresa que realiza um determinado tratamento de dados. Um exemplo disso hoje são as microempresas, startups e consultorias especialistas de pequeno porte que processam milhões de registros de titulares de dados, que vão de informações cadastrais, transicionais de dados e sensíveis. Assim é necessário adequar o plano de implementação do Programa à realidade das pequenas e médias empresas.

(9)

Segundo Rego (2013), a necessidade da realização de ações na fase de preparação de uma empresa, como inventário de dados, se confunde com as boas práticas de gestão de dados na função de gestão direcionada pela Governança de Dados e auxilia no planejamento e no exercício da autoridade e controle de estratégias, políticas, regras, procedimentos, papéis e atividades envolvidas com os ativos de dados.

As ações de adequação de uma organização para o cumprimento da LGPD podem se beneficiar de um processo de Governança em vigor ou mesmo nas suas práticas para orientação da construção da estrutura corporativa necessária para a sustentação e manutenção do correto uso dos dados pessoais em cumprimento aos requisitos legais impostos pela LGPD. A decisão de analisar os desafios da Governança de dados com enfoque em pessoas físicas deu-se por se constatar a necessidade de análise focada em pequenas empresas capaz de interpretar e evidenciar a dificuldade citada.

(10)

1.3 OBJETIVOS

1.3.1 Objetivo Geral

Analisar como a Governança de Dados pode auxiliar uma empresa de pequeno porte na organização dos dados pessoais para o planejamento e cumprimento da LGPD.

1.3.2 Objetivos Específicos

a) Identificar as etapas do ciclo de vida dos dados pessoais de acordo com as boas práticas;

b) Identificar a situação atual de governança de dados de uma empresa de pequeno de porte.

c) Identificar possíveis melhorias na organização dos dados pessoais para o planejamento e cumprimento da LGPD em uma empresa de pequeno porte.

(11)

2 REVISÃO DA LITERATURA

Para que se possa iniciar o presente estudo de caso, que tem como elemento central a governança de dados voltada ao apoio de pequenas empresas ao cumprimento da lei geral de proteção de dados pessoais (LGPD), é necessário delinear alguns conceitos, definições e princípios para o tratamento de dados em particular, dados pessoais e da governança destes dados.

2.1 DEFINIÇÃO DE DADO, INFORMAÇÃO, CONHECIMENTO E DADO PESSOAL

Para Angeloni (2013) dados são elementos brutos sem significado, são desvinculados da realidade, e informação é o dado trabalhado, com contexto, com relevância e propósito, onde lhe é conferido significado e no contexto prático é a compreensão dos relacionamentos entre dados podendo responder a quatro perguntas: Quem?, O quê?, Quando? e Onde?, e o conhecimento é a informação com valor agregado, produzida com a pretensão de validade universal, assimilada pelo individuo ou pela organização e integrada ao seu saber anterior.

Maciel (2019) ensina que de acordo com a definição da LGPD o dado pessoal é toda informação que pode identificar um indivíduo ainda que não diretamente e, portanto, os relacionamentos de dados elevam ao entendimento, criação e informação sobre alguém. Completa que dados sozinhos podem não identificar uma pessoa, porém agregados a outros passam a ter essa capacidade. E sob esta hipótese deve ser considerado dado pessoal. Enfatiza que um dado anônimo não é um dado pessoal desde que não possa ser identificado considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Descreve que a LGPD define que uma categoria especial de dados pessoais é denominada sensível quando carregam informações relacionadas à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural”

2.2 LEI GERAL DE PROTEÇÃO DE DADOS

Descreve Maldonado (2019, p. 15) que a lei em seu primeiro artigo contém a seguinte redação:

(12)

Art 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Os legisladores brasileiros na construção da LGPD adotaram

[...] o modelo do regulamento europeu, e embora mais sucinta, seus pilares são praticamente os mesmos e são leis que buscam um equilíbrio entre os novos modelos de negócio baseados no uso de dados pessoais e a proteção à privacidade, valor cada vez mais na pauta dos cidadãos a partir da divulgação cada vez maior de casos de uso indevido de tais informações”. (MACIEL, 2019, p. 22, p. 23)

Maciel (2019, p. 22 , p. 23) afirma que:

[...] é fundamental ter em mente os seguintes conceitos trazidos pela LGPD:

Titular: pessoal natural a quem se referem os dados

pessoais que são objeto de tratamento,

Controlador: pessoal natural ou jurídica, de direito público

ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais,

Operador (Processador): pessoa natural ou jurídica, de

direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador,

Encarregado (DPO): pessoa indicada pelo controlador

para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados,

Agentes de tratamento: o controlador e o operador, Anonimização: utilização de meios técnicos razoáveis e

disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo,

Eliminação: exclusão de dado ou conjunto de dados

armazenados em banco de dados, independente do procedimento empregado,

Autoridade nacional: órgão da administração pública

responsável por zelar, implementar e fiscalizar o cumprimento desta lei,

Tratamento de dados: toda operação realizada com dados

pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

(Maciel, 2019) ensina que de acordo com a LGPD princípios fundamentais dão compreensão e delimitação da legalidade do uso dos dados pessoais e entre estes, temos o:

(13)

• Princípio da finalidade em que os dados devem ser trados de acordo com propósitos legítimos, específicos e informados ao titular.

• Princípio da adequação em que o tratamento deve ser compatível com a finalidade informada.

• Princípio da necessidade em que a adequação e a necessidade caminham juntas e no princípio da necessidade mais dados do que necessário para atingir a finalidade informada é vedado o tratamento, os dados têm que ser pertinentes e proporcionais e não devem estar excessivos ao processo.

• Princípio do livre acesso, da qualidade dos dados e da transparência define que o titular dos dados tem o direito a realizar consulta facilitada e gratuita sobre a forma e a duração do tratamento, assim como sobre a integridade dos dados pessoais. Os dados devem ter qualidade, serem claros, e exatos.

• Princípio da segurança e prevenção os dados pessoais devem estar contemplados no âmbito da segurança e prevenção não somente de medidas técnica, mas também as medidas administrativas ou organizacionais.

• Princípio da não discriminação onde nenhum dado coletado, não importando a sua base legal ou finalidade exposta com consentimento válido, poderá ser tratado para fins discriminatórios ilícitos ou abusivos.

• Princípios da responsabilidade e da prestação de contas considera-se que o agente de tratamento deve não somente cumprir as normas, mas ter capacidade de demonstrar sua conformidade. É o chamado “accountability”, onde deve prestar contas não somente a Autoridade Nacional de Proteção Dados (ANPD) mas também aos clientes e público em geral. As organizações profissionais e associações, empregados, parceiros comerciais, investidores, observatórios de proteção à privacidade e imprensa.

A LGPD é uma legislação responsável por organizar e sistematizar os pontos acerca do tratamento de dados pessoais de titularidade de pessoas físicas e mediante a imposição de regras específicas que dispõem sobre a coleta, o tratamento e o armazenamento de dados pessoais.

2.3 GESTÃO E GOVERNANÇA DE DADOS

O correto desenvolvimento do estudo relacionado deve estar pautado no claro entendimento e diferenciação entre a gestão, gestão e a governança de dados.

(14)

2.3.1 Conceituação de Gestão

A Gestão, conforme Luft (2001, p.352), se conceitua como “ação ou efeito de gerir; gerência; administração”. É originário do latim: gerir, que quer dizer administrar, gerenciar, coordenar. Sobre o conceito dessa palavra, pode-se fazer uma relação ao termo administração: onde Chiavenato (2003, p.11) a palavra administração como advindo latim “ad (direção, tendência para algo) e minister (subordinação ou obediência)” e significa aquele , e indica o desempenho de afazeres de direção dos temas de um grupo.

Descrever como a Governança de Dados pode auxiliar uma empresa de pequeno porte na organização dos dados pessoais para o planejamento e cumprimento da LGPD

Em uma abordagem mais específica ensina (Pacheco, 2008) que a Gestão Estratégica é a prática que de maneira participativa e partindo de um diagnóstico prévio do cenário atual e futuro com a leitura de ambientes internos e externos, se define o rumo que pretende-se dar a uma organização, e com isto define-se a perspectiva de missão, visão e valores, as estratégias e os planos de ações que os guiarão assim como os controles e correções envolvidos.

2.3.2 Conceituação de Governança

Esclarece (Weill, 2006) que a devido ao grande número de escândalos corporativos dados em meados de 2002 envolvendo corporações como a Enrom, Workdcom e Tyco e devido ao impacto financeiro oriundos das fraudes ocorridas a confiança nas instituições foram solapadas. A Governança mesmo não sendo algo novo ganhou força e passou a ser prática visando alinhar boas práticas ditadas que se permeiam nos diversos níveis de uma organização trazendo transparência as organizações.

“O objetivo da governança é criar mecanismos eficientes de gestão, monitoramento e controle para garantir que decisões dos executivos e os processos empresariais estejam alinhados com os interesses dos proprietários e/ou acionistas” (FREITAS, 2010, p.8).

(15)

2.3.3 Gestão e Governança de Dados

2.3.3.1 Gestão de Dados

Duas definições aceitas para a gestão de dados podem se utilizadas para a contextualização desta disciplina:

“Gestão de Dados é a disciplina responsável pro definir, planejar e executar estratégias, procedimentos e práticas necessárias para gerenciar de forma efetiva os recursos de dados e informações das organizações, incluindo planos para sua definição, padronização, organização, proteção e utilização.

Gestão de Dados é a função na organização que cuida do planejamento, controle e entrega dos ativos de dados e de

informação. Esta função inclui: as disciplinas do

desenvolvimento, execução, supervisão de planos, políticas, programas, projetos, processos, práticas e procedimentos que controlam, protegem, distribuem e aperfeiçoam o valor dos ativos de dados e informações” (REGO, 2013, p.25 p.26)

Há diversas organizações internacionais voltadas ao desenvolvimento dos assuntos relacionados a gestão de dados, como a Data Governance Institute e a DAMA ® (Data Management International e vem contribuindo para a gestão de dado com frameworks e práticas como a DAMA-DMBOK®. E descreve Rego (2013) que há um conjunto de cinco princípios básicos que regem DAMA-DMBOK® Guide e estabelece a sua filosofia de trabalho, e os princípios são:

“Dados e informações são ativos valiosos das organizações. Como todo ativo, os dados devem ser gerenciados, assegurando

qualidade adequada, segurança, integridade, proteção,

disponibilidade, compreensão e uso efetivo.

A responsabilidade da Gestão de Dados é compartilhada entre os Gestores de Dados de Negócios e os profissionais de Gestão de Dados de Tecnologia.

Gestão de Dados é uma profissão emergente e em amadurecimento.” (REGO, 2013, p.26 p.27)

Conforme descreve Rego (2013), dez funções primarias constroem a disciplina de Gestão de Dados, como a:

• Governança de Dados que representa o exercício da autoridade, controle estratégico, políticas, procedimentos, papéis e atividades evolvidas em todo o ciclo de vida do ativo “dado”.

• Gestão da Arquitetura de Dados em que se tem a função responsável pro definifir as necessidades de dados da empresa. Também é responsável por criar e manter a arquitetura corporativa de dados.

(16)

• Gestão do Desenvolvimento dos Dados, função esta que representa todas as atividades de dados no ciclo de desenvolvimento de sistemas.

• Gestão de Operação de Dados sendo a função responsável por manter o armazenados os dados ao longo do seu ciclo de vida após sua criação.

• Gestão de Segurança de Dados sendo a função responsável por definir e manter políticas de segurança e procedimentos, provendo adequada autenticação, utilização, acesso e auditoria de dados.

• Gestão de Dados Mestres e Dados de Referência como função responsável por definir e controlar as atividades que garantam a consistência e a disponibilização de visões únicas dos dados mestres de uma organização.

• Gestão de Data Warehousing e Business Inteligence como função responsável por definir e controlar processos que sustente com dados que deem suporte a tomada de decisão e ao fluxo analítico de aplicações com esta finalidade.

• Gestão Documentação e de Conteúdo colocando-se como função dedicada ao planejamento e implementação e controles e atividades de armazenamento, proteção e acesso aos dados não estruturados da organização.

• Gestão de Metadados como função responsável por gerir e armazenar os metadados (dados sobre dados) da organização e viabilizando formas de acesso.

• Gestão da Qualidade de Dados como função que se dedica à gestão das atividades para a aplicação técnica de Qualidade de Dados tendo como propósito a medição, avaliação, melhoria e garantia da qualidade de dados de uma organização.

2.3.3.2 Governança de Dados

Como afirma Barbieri (2013) é ampla e plural a definição de Governança de Dados é ampla e plural, ainda é um conceito em evolução, e, cita ainda que segundo a DMBOK a Governança de Dados se divide em duas macro atividades, planejamento e controle da gestão dos dados, entendo as necessidades estratégicas de dados, desenvolvendo e mantendo uma estratégia de dados, estabelecendo unidades organizacionais e papéis voltados aos dados, identificação dos Data Stewards, estabelecendo camadas de governança de dados e data stewards, desenvolvendo e aprovando políticas, padrões e procedimentos de dados, tendo ainda a revisão e aprovação da arquitetura de dados, como planejamento do patrocinador de projetos e serviços de gestão de dados, e por último mas não menos importante a estimativa do valor de ativos de dados e custos associados (Riscos).

(17)

3 PROCEDIMENTOS METODOLÓGICOS

3.1 CARACTERIZAÇÂO DO ESTUDO

O escopo desta pesquisa contempla um estudo de caso realizado em forma de estudo descritivo e exploratório, tendo como ponto de partida as técnicas de pesquisa documental e entrevista. Segundo Rauen (2002), o estudo de caso é um estudo profundo de um ou de poucos objetos, que busca retratar a realidade de forma completa e profunda, de modo a permitir o seu amplo e detalhado conhecimento.

Como ensina Lakatos (2003) na seleção dos métodos e das técnicas deve-se levar em conta a proposição do problema e da delimitação do universo da amostra, e no contexto do estudo de caso de um objeto observacional limitado a pesquisa terá uma abordagem qualitativa.

3.2 CAMPO DE ESTUDO

A empresa Oki Data Inf, do Brasil Ltda é uma empresa de tecnologia fabricante de impressoras e multifuncional e fornecendo equipamentos e serviços relacionados no mercado brasileiro e tem sua força de penetração no mercado através do canal de revendas e diretamente oferecendo serviços de impressão de documentos através de locação e benefícios relacionados, também conhecido como outsourcing de impressão.

Também oferta seus produtos e serviço pela venda através de sua loja virtual operada por empresa terceira.

Empresa de origem Japonesa com mais 100 anos com ampla atuação na indústria de telecomunicação, eletrônica e equipamentos de impressão Laser e com presença no Brasil a mais de 20 anos sediada na cidade de São Paulo conta com cerca de 50 funcionários e uma operação suportada por parceiros de serviços e logísticos.

(18)

3.3 INSTRUMENTOS PARA COLETA DE DADOS

A coleta de dados faz parte da pesquisa sobre a perspectiva do diretivo, gestores e agentes técnicos para levantar os aspectos relacionados a maturidade sobre a governança dos dados, compreensão da LGPD e as implementações e execução exercidas no momento da pesquisa e possível diagnóstico de lacunas entre as boas práticas e a situação atual.

Como instrumento de coleta de dados foi utilizada a entrevista, sendo o público pesquisado restritos a dois diretores, gestores de RH, Marketing e TI e analistas de negócios, três analista de TI responsáveis por sistemas e infraestrutura e o diretor financeiro responsável pela implantação das adequações a LGPD sponsor (patrocinador).

A entrevista é um encontro entre duas pessoas, a fim de uma delas obtenha informações a respeito de determinado assunto, mediante uma conversação de natureza profissional. É um procedimento utilizado na investigação social, para a coleta de dados ou para ajudar no diagnóstico ou no tratamento de um problema social. (Lakatos, 2003. p 195)

A seleção dos entrevistados seguiu como critério:

a) Com visão estratégica e autoridade para a definição das políticas e práticas alinhadas com a estratégica;

b) Envolvimento em processos e áreas críticas e de potencial contato com dados pessoais e sensíveis;

c) Responsabilidade pela implementação técnica e processual, desde o levantamento até a implementação;

Para os entrevistados não foram utilizados os seus nomes verdadeiros, por privacidade foi colocado letras do alfabeto para identificar as falas dos mesmos, sendo entrevistado A é o analista de TI, B o analista de negócios 1, C o analista de negócios 2, D Supervisor de Marketing, E Diretor Financeiro e patrocinador do projeto, etc.

Como instrumento de coleta de dados dos processos e fluxos de dados foram utilizados formulários específicos e análise de procedimentos.

Na organização das boas práticas o instrumento documental foi utilizado como livros e artigos de especialistas do assunto com foco em

(19)

4 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS

4.1 ETAPAS DO CICLO DE VIDA DOS DADOS PESSOAIS

De acordo com a LGPD um potencial usuário de dado pessoais, seja pessoa física ou jurídica deve deixar claro a finalidade e alinhar ao princípio legal que justifique a sua coleta.

Portanto entender a classificação correta dos dados se torna um processo importante para estar em conformidade com a lei, e através de implementações de políticas, processos, e programas apropriados deve gerir a forma de coleta, processamento, análise, armazenamento, compartilhamento, reutilização e eliminação de tais dados.

Neste contexto, a Gestão do Ciclo de Vida dos Dados deve ser incorporado ao negócio, considerando a finalidade do fornecimento de seus bens e serviços alinhados com o respeito ao atribuído pelos princípios legais postos pela LGPD.

Figura 1 – Ciclo de vida dos dados

Fonte: Alves (2019?).

Na aplicação do formulário de entrevista, Formulário de Entrevista - Ciclo de Vida dos Dados Pessoais (APENDICE - A) foi considerando o ciclo de vida dos dados e questionado sobre abordagem de governança e qual o alinhamento com boas práticas para o cumprimento da LGPD. A entrevista feita com base no questionário do formulário foi aplicada a todos entrevistados selecionados no instrumento de coleta, exceto o diretor financeiro (entrevistado E).

(20)

Na tabulação dos resultados foi adotado como critério a média aritmética simples da classificação da resposta dada pelos entrevistados.

De acordo com o ciclo de vida dos dados pessoais foram observados os resultados: • Coleta

o Critério

Quadro 1 – Critério de avaliação dos resultados do levantamento do ciclo de vida dos dados pessoais – Fase coleta

Fonte: Autor (2020)

o Respostas tabuladas

Quadro 2 – Respostas da entrevista de levantamento do ciclo de vida dos dados pessoais – Fase coleta

Fonte: Autor (2020)

o Observação

Há uma propensão dos dados serem coletados indiscriminadamente.

• Processamento o Critério

Quadro 3 – Critério de avaliação dos resultados do levantamento do ciclo de vida dos dados pessoais – Fase processamento

Fonte: Autor (2020)

Os dados são coletados indiscriminadamente Entre 1 e 2 Há critérios de coleta dos dados pessoais. Entre 2 e 3 Há alguma prática de governança na coleta dos dados 3

FASE DO CICLO : COLETA

Critério de avaliação dos resultados Intervalo

A B C D Acumulado

Os dados coletados obedecem ao princípio da necessidade e finalidade? 1 1 1 1 4 Em relação aos demais dados de negócios há distinção ou identificação dos dados

pessoais coletados? 2 2 2 2 8

Sobre os dados coletados em geral, há alguma identificação dos dados como

metadados? 1 1 1 1 4

Média

1,33

Fase do Ciclo Pergunta

Entrevistados

Coleta

Os dados podem ser processados sem um tratamento específico Entre 1 e 2 Há critérios de tramento sendo utilizados no processamento Entre 2 e 3

Há alguma prática de governança no processamento 3 FASE DO CICLO : PROCESSAMENTO

(21)

• Quadro 4 – Respostas da entrevista de levantamento do ciclo de vida dos dados pessoais – Fase processamento

Fonte: Autor (2020)

o Observação

Os dados são processados sem um tratamento específico de acordo com o estabelecido na LGPD.

• Análise

o Critério

Quadro 5 – Critério de avaliação dos resultados do levantamento do ciclo de vida dos dados pessoais – Fase análise

Fonte: Autor (2020)

Quadro 6 – Respostas da entrevista de levantamento do ciclo de vida dos dados pessoais – Fase análise

Fonte: Autor (2020)

o Observação

Os dados são analisados com uma orientação enviesada pelo entendimento do negócio e da estratégia da empresa e sem uma distinção de dados gerais dos dados pessoais e nenhuma prática de governança de dados pôde ser observada.

A B C D Acumulado

Considerando a sua finalidade é observado o correto tratamento dos dados? 1 1 1 1 4 Há um claro conhecimento do fluxo de processamento dos dados e e clareza no

compartilhamento com outros processos ou empresas? 2 1 1 2 6

Média

1,25

Entrevistados

Processamento

Análise dos dados feita com orientação somente pelo entendimento do negócio e

estratégia.Entre 1 e 2 É levando em consideração a finalidade da coleta de acordo com a LGPD Entre 2 e 3 A análise se sustenta em algum nível de política ou prática de governaça de dados 3

FASE DO CICLO : ANÁLISE

A B C D Acumulado

É considerada a finalidade original da coleta dos dados para a análise? 2 2 2 2 8 A finalidade pelo qual os dados foram coletadaos é observado em um

reaproveitamento dos dados inclusive de pessoas físicas para entendimento de mercado ou de definição da estratégias?

1 1 1 1 4

Há algum critério ou política de uso de dados definidos na empresa? 1 1 1 1 4

Média

1,33

Entrevistados

(22)

• Compartilhamento o Critério

Quadro 7 – Critério de avaliação dos resultados do levantamento do ciclo de vida dos dados pessoais – Fase compartilhamento

Fonte: Autor (2020)

Quadro 8 – Respostas da entrevista de levantamento do ciclo de vida dos dados pessoais – Fase compartilhamento

Fonte: Autor (2020)

o Observação

Os dados são compartilhados de acordo com a necessidade do negócio sem observância a consentimento ou regimento de políticas de governança de dados.

• Armazenamento o Critério

Quadro 9 – Critério de avaliação dos resultados do levantamento do ciclo de vida dos dados pessoais – Fase armazenamento

Fonte: Autor (2020)

Os dados pessoais são compartilhados sem a necessidade do consentimento de seus

titulares.Entre 1 e 2 Não há claramente aplicação de consentimento mas é identificado práticas de governaça

que possam aproximar a situação atual do cumprimento à LGPD. Entre 2 e 3 O compartilhamento de dados tendem a ser restrito a sua finalidade e as práticas de

governança podem apoiar o processo. 3 FASE DO CICLO : COMPARTILHAMENTO

A B C D Acumulado

Os dados pessoias são distintos dos demais dados de negócio e identificados e

classificados para sua aplicação? 1 2 2 2 7

Há nas políticas, procedimentos ou regulamentos para o compartilhamento de dados

entre processos ou entre empresas? 1 1 1 1 4

Há uma correta segregação de dados de acordo com a aplicação e sua finalidade

estabelecida? 2 2 2 1 7

1,50 Média

Entrevistados

Compartilhamento

Os dados são armazenados e mantidos por tempo indeterminado. Entre 1 e 2 Os dados são armazenados e mantidos por algum critério de temporalidade baseado e

governança mas não especificamente relacionados aos restritos a finalidades pertinenteEntre 2 e 3 Os dados são armazenados e mantidos por critério de temporalidade adotados em

governça e também especificamente relacionados aos restritos a finalidades pertinente. 3 FASE DO CICLO : ARMAZENAMENTO

(23)

Quadro 10 – Respostas da entrevista de levantamento do ciclo de vida dos dados pessoais – Fase armazenamento

Fonte: Autor (2020)

o Observação

Não foi observado critérios de temporalidade que pudesse apoiar a implementação de práticas de governança no cumprimento a LGPD sob prazos definidos e limitados a finalidade ao qual foi coletado.

• Reutilização o Critério

• Quadro 11 – Critério de avaliação dos resultados do levantamento do ciclo de vida dos dados pessoais – Fase reutilização

Fonte: Autor (2020)

Quadro 12 – Respostas da entrevista de levantamento do ciclo de vida dos dados pessoais – Fase reutilização

Fonte: Autor (2020)

A B C D Acumulado

Há alguma política ou prática apoiada em algum nível de governança que estabelece

temporalidade dos dados? 1 1 1 1 4

Os controles sobre a temporalidade dos dados seguem critérios técnicos de gerenciamento dos bancos de dados ou baseados em políticas de governança de dados alinhados com o negócio?

1 1 1 1 4

1,00 Média

Entrevistados

Armazanemento

Os dados pessoais são reutilizados sem a necessidade de consentimento de seus titulares Entre 1 e 2 Os dados são reutilizados sem clareza da necessidade de consentimento mas governado

por alguma política de dados.Entre 2 e 3 Os dados são reutilizados de acordo com o consentimento de seus titulares. 3

FASE DO CICLO : REUTILIZAÇÃO

A B C D Acumulado

Reutilização

Para a reuntilização dos dados feitas de acordo com a necessidade do negócio há observação da finalidade pelo qual o mesmo foi coletado e algum nível de consentimento? Ex.: Campanhas, comunicação com clientes e consumidores, execução dos serviços relacionados

1 1 1 1 4 1,00

Média

(24)

o Observação

As respostas orientam para a observação de que os dados pessoais sejam reutilizados sem a observância aos critérios de consentimentos de seus titulares.

• Eliminação o Critério

Quadro 13 – Critério de avaliação dos resultados do levantamento do ciclo de vida dos dados pessoais – Fase eliminação

Fonte: Autor (2020)

Quadro 14 – Respostas da entrevista de levantamento do ciclo de vida dos dados pessoais – Fase eliminação

Fonte: Autor (2020)

o Observação

As respostas indicam que não há uma regra formal que defina sobre a obrigatoriedade de eliminação dos dados, incluindo os dados pessoais.

4.2 SITUAÇÃO ATUAL DE GOVERNANÇA DE DADOS

Ensina Maldonado (2019) quando são realizados tratamentos de dados pessoais, é imperativo que cuidados adicionais sejam tomados e programas de governança de dados devam ter espaço auxiliando na adequação à LGPD.

a) Visão estratégica

Os dados pessoais são mantidos sem a obrigatoriedade de serem eliminados Entre 1 e 2 Pode haver práticas de governança de dados que possam ser utilizadas para a sistematização de eliminação de acordo com os termos de término do seu tramento e aplicação de acordo com a finalidade

Entre 2 e 3 Os dados são mantidos com obrigatoriedade de serem eliminados apoiado por práticas

de governança 3

FASE DO CICLO : ELIMINAÇÃO

A B C D Acumulado

Eliminação Há alguma regra formal ou não que defina sobre a obrigatoriedade de dados serem

eliminados? 1 1 1 1 4 1,00

Média

(25)

A implementação de programas de governança em privacidade e proteção de dados pessoais deve estar na agenda dos interessados em uma organização e em especial nos mais altos níveis de direção das organizações, dada a devida urgência e importância do tema. Em suma, a Governança de Dados deve ser dirigida da alta direção e disseminada pela organização.

Para a observação do grau de maturidade do apoio à Governança de dados, neste estudo foi realizada entrevista com o entrevistado E utilizando o formulário de entrevista Formulário de Entrevista – Visão da Gestão sobre a Governança de Dados (APENDICE – B).

Todas as questões buscavam afirmar a necessidade e importância da Governança de dados onde a resposta afirmativa indicava algum grau de reconhecimento dessa necessidade e da sua importância, independentemente do nível de implementação da governança em que a empresa se encontra.

a) Tabulação das respostas

Quadro 15 – Tabulação das respostas da visão estratégica Respostas Afirmativas Negativas Total

Número 6 3 9

Porcentagem 67% 33% 100%

Fonte: Autor (2020)

b) Pergunta e resposta

Quadro 16 – Perguntas e respostas da entrevista da visão estratégica

# Questões Resposta

(SIM / NÃO) 01 A Governança de dados está na pauta do diretivo da empresa? SIM

02 Há um plano de adequação à LGPD em curso? SIM

03

Não havendo a necessidade de adequação da empresa à LGPD, faria investimento de esforço e investimento em governança e na gestão dos dados na empresa?

SIM

04

No plano anual de investimento há orçamento previsto para desenvolvimento de um plano de governança de dados incluindo dados pessoais?

(26)

# Questões Resposta (SIM / NÃO) 05

Há uma área dedicada a Governança de Dados?

Qual área da empresa direciona os esforços de governança de dados?

NÃO 06 Há profissional dedicado para a governança de dados? Não havendo

tem a intenção de contratar? NÃO

07 Ao seu ver a governança de dados pode ser uma aliada à adequação

da empresa à LGPD? SIM

08 Identifica oportunidades adicionais da governança de dados na

empresa? Quais? NÃO

09 Reconhece a importância dos dados no funcionamento da empresa

como um insumo de valor? SIM

Fonte: Autor (2020)

No detalhamento das respostas o entrevistado trouxe um enriquecimento na resposta binária através de suas justificativas e visão sobre a governança de dados em sua empresa.

a) Justificativa das respostas.

Quadro 17 – Complemento das respostas da entrevista da visão estratégica

# Questões Complemento

01 A Governança de dados está na pauta do diretivo da empresa?

Contratamos uma consultoria que realizou diagnóstico sobre nosso cenário atual para adequação a LGPD e entre os apontamentos nos trouxe a necessidade de iniciarmos um trabalho de governança de dados para manter-nos em “compliance” com a lei e permitir rastreabilidade para responder aos titulares de dados e também as agências reguladoras, Então, sim está em nossa pauta.

02 Há um plano de adequação à LGPD em curso?

Um pouco atrasados, mas em julho deste ano aprovamos um plano que está em curso, onde já realizamos treinamentos e uma primeira fase de levantamento dos dados pessoais.

(27)

# Questões Complemento

03

Se me perguntasse antes do início da adequação responderia que não, pois não tínhamos ideia do descontrole sobre dados e da sua importância para a nossa empresa. Sempre foi um assunto técnico da área de sistemas de informação na empresa e no máximo a nossa preocupação ficava com a segurança da informação.

04

Diria que sim, no início do ano em nosso orçamento de TI fizemos previsão orçamentária para garantir a implantação de um programa de adequação à LGPD.

05

Há uma área dedicada a Governança de Dados?

Qual área da empresa direciona os esforços de governança de dados?

Dado o nosso tamanho e estrutura não temos como manter uma área de Governança de Dados. Criamos uma frente de trabalho com pessoas de área de negócios, operacional, TI, jurídico, RH e Mercado (Mkt) para condução do plano de adequação na LGPD.

O trabalho de organização dos dados e outros esforços que se relacionem deixamos na mão do TI.

06

Há profissional dedicado para a governança de dados? Não havendo tem a intenção de contratar?

Como disse, estamos deixando na mão do TI mas reconheço que não é suficiente, pois não temos muita clareza de como alinhar estrategicamente esta governança com o nosso negócio.

E as atividades do TI são técnicas e muito partindo da tecnologia ou da necessidade de nossos sistemas de informação.

07

Ao seu ver a governança de dados pode ser uma aliada à adequação da empresa à LGPD?

Sim, quando foi apresentado o resultado do trabalho da consultoria, ficou claro que ter gestão ou governança sobre os dados será imperativo para termos alguma tranquilidade na operação do dia a dia com os dados e principalmente os pessoais.

08

Identifica oportunidades adicionais da governança de dados na empresa? Quais?

Honestamente não consigo ver com clareza como nos beneficiar da governança de dados além dos controles e organização necessários para estarmos em “compliance” com a lei e conseguir responder ao dia a dia após a lei ter entrado em vigor.

09

Reconhece a importância dos dados no funcionamento da empresa como um insumo de valor?

Vejo a importância na operação do dia a dia, em nossos sistemas como algo que permita a nossa execução e na leitura de nossos indicadores e projeções. Entendo que ter dados adequados ajudam a empresa neste sentido.

(28)

Pelas justificativas das respostas do entrevistado E pode se observar: • Que a necessidade de adequação a LGPD levou a empresa a melhorar seu

entendimento sobre a necessidade de governança de dados.

• Que percebe na governança de dados um caminho para organização e gestão dos dados pessoais.

b) Visão tática e operacional

Segundo Rego (2013), a função de governança não deve se limitar ao patamar das normas, padrões, controles e permissões de acesso a dados e informações, mas também com uma visão mais apurada sobre os dados estratégicos auxiliar a empresa na análise dos processos e que se abastecem desses dados.

Neste contexto a observação realizada na entrevista aplicada nos entrevistados A, B, utilizando o formulário de entrevista Formulário de Entrevista – Visão da Execução da Governança de Dados (APENDICE – C) segue em busca de explorar sobre importância da governança dos dados na execução e controle do negócio.

Todas as questões buscavam afirmar a necessidade e importância da Governança na execução e controle do negócio da empresa onde a resposta afirmativa indicava algum grau de reconhecimento dessa necessidade e da sua importância, independentemente do nível de implementação da governança em que a empresa se encontra.

c) Tabulação das respostas

Quadro 18 – Tabulação das respostas da visão tática e operacional

Respostas Afirmativas Negativas Total

Número 10 2 12

Porcentagem 83% 17% 100%

(29)

d) Pergunta e resposta Entrevistado A

Quadro 19 – Perguntas e respostas da entrevista da visão tática e operacional – Entrevistado A

Complemento

01

Ao seu ver a governança de dados pode ajudar na melhoria da qualidade de dados para análise e evolução do negócio?

Gastamos muito esforço para uniformizar os dados das diversas fontes. Temos muitos dados gerados e em muitas fontes, mas pouco qualificados, onde gastamos muito tempo esforço para tratamento. 02

Entende que a Governança de dados possa auxiliar na organização e disposição de dados para a tomada de decisões nos diversos níveis da empresa?

Sim, dados bem mapeados, com metadados, padronizados em sua taxonomia simplifica bem a preparação dos dados.

03

Consegue identificar vantagem

competitiva a partir da Governança na gestão dos dados melhorando a resposta a demandas de negócios e na sua análise?

Sim, conforme já dito na pergunta anterior os dados bem planejados simplificam a utilização e transformação dos dados em informação útil.

04

Vê a Governança de dados e com os seus princípios apoiando na proteção e

transparência das informações?

Sim, saber onde estão e ter políticas para cuidar deles de fato.

05

A governança de dados como função de gestão pode apoiá-los na redução de custos e melhoria de processos.

Vejo que sim, no mínimo ganharemos em tempo.

06

Identifica na Governança de Dados um potencial de apoio à integração e

compartilhamento de dados entre sistemas de informação como ERP, CRMs e demais sistemas proprietários da empresa?

Sim, certamente, compartilhamos muitas bases ou integramos e cada desenvolvedor segue sua própria regra dificultando em muito a integração.

(30)

Entrevistado B

Quadro 20 – Perguntas e respostas da entrevista da visão tática e operacional – Entrevistado B

Complemento

01

Ao seu ver a governança de dados pode ajudar na melhoria da qualidade de dados para análise e evolução do negócio?

Nosso sistema de BI evolui pouco em seus modelos porque temos muita dificuldade em uma extração. Então gastamos muito tempo neste trabalho.

02

À medida que possa melhorar a entrega de dados padronizados.

03

Consegue identificar vantagem

competitiva a partir da Governança na gestão dos dados melhorando a resposta a demandas de negócios e na sua análise?

Apesar de ajudar no insumo da análise não reconheço os dados como sendo um insumo do negócio com valor a ponto de diferenciá-lo.

04

Vê a Governança de dados e com os seus princípios apoiando na proteção e

transparência das informações?

Acredito que sim porque pode ajudar na segregação de dados e na correta

utilização. Minha ressalva fica sobre o benefício versus o esforço para garantir tudo isto.

05

A governança de dados como função de gestão pode apoiá-los na redução de custos e melhoria de processos.

Não acredito que o custo-benefício seja suficiente para justificar o custo de implantar e manter.

06

Identifica na Governança de Dados um potencial de apoio à integração e

compartilhamento de dados entre sistemas de informação como ERP, CRMs e demais sistemas proprietários da empresa?

Sim, com certeza teremos ganhos nestas integrações. Recordo que na integração de nosso sistema ERP Protheus com o Sales Force (CRM e Processos) gastamos muito tempo procurando uniformizar e

compreender os dados para integrá-los. Fonte: Autor (2020)

Pelas justificativas das respostas dos entrevistados A e B pode se observar: • Na perspectiva da TI a Governança de dados pode ser um aliado no

desenvolvimento e operação dos sistemas e informações da empresa. • Na perspectiva do negócio a governança é reconhecida como aliada no

desenvolvimento do negócio, no entanto o suficiente pelo esforço em implantar a Governança de dados e em mantê-la.

(31)

4.3 ANÁLISE DOS RESULTADOS

4.3.1 ANÁLISE DO CICLO DE VIDA DOS DADOS PESSOAIS.

No ciclo de vida dos dados pessoais ensina Maldonado (2019) que um programa de governança de dados efetivo, deve ser extensivo a cada uma das etapas do ciclo de vida da informação e é fundamental a aplicação de boas práticas na gestão individual de cada uma delas.

Observa-se a coleta indiscriminada de dados e com a LGPD os dados pessoais devem obedecer ao princípio da necessidade e da finalidade.

Os dados são processados sem tratamento específico e com a LGPD os processamentos de dados só podem ser realizados se o tratamento estiver enquadrado no Art 7º da LGPD.

O compartilhamento dos dados pessoais é realizado sem o consentimento dos titulares e com a LGPD deve-se observar o consentimento dos titulares e ou finalidade.

O armazenamento dos dados pessoais é mantido por tempo indeterminado e com a LGPD devem ser mantidos por prazos definidos, ou seja, até que a finalidade seja alcançada ou deixem de ser necessários ou pertinentes ao alcance da finalidade.

Há reutilização de dados pessoais sem o consentimento dos titulares e na LGPD há a necessidade de um novo consentimento sempre que houver mudança de finalidade.

Na etapa de eliminação dos dados pessoais não há obrigatoriedade de serem eliminados, com a LGPD os dados necessariamente devem ser eliminados após o término de seu tratamento, exceto quando deva cumprir requisitos legais que obriguem a sua retenção, mas neste caso o prazo de retenção deve ser respeitado.

Na observação do ciclo de vida no campo do estudo de caso as boas práticas dirigidas pela Governança de dados podem contribuir com o estabelecimento de políticas, regras, procedimentos, papéis e atividades envolvidas com o ativo de dados de forma a orientar a implementação e a gestão de dados alinhada e em cumprimento da LGPD.

(32)

4.3.2 ANÁLISE DA SITUAÇÃO ATUAL DE GOVERNANÇA DE DADOS.

A visão estratégica da empresa entende a Governança de dados como meio para adequação à LGPD, e, o plano em curso visa atender a LGPD com algum entendimento sobre a importância da Governança de Dados e caminha para o amadurecimento da necessidade da Governança de Dados para a continuidade do processo de gestão dos dados pessoais na empresa.

A visão tática e operacional entende a Governança de dados como aliada no desenvolvimento da operação e no desenvolvimento de negócios, no entanto, não é implementada em seus processos de negócio.

A empresa campo de estudo encontra-se em: • Fase de engajamento das áreas de negócio,

• Fase inicial da adequação, especificamente no levantamento,

4.3.3 OPORTUNIDADES E MELHORIAS NA ORGANIZAÇÃO.

A adoção da Governança de Dados como framework para implantação e cumprimento da LGPD oferece um modelo viável para guiar empresas com pouco recurso disponível desde que consiga equilibrar as suas funções sem pretensão de aprofundamento em uma única etapa, sendo continua a sua implementação as a melhorias podem fazer valer o investimento de esforço e recurso.

Processos com algum nível de governança estarão mais aptos a responder a dinâmica de interação com os proprietários de dados, operadores e a agência nacional que regulará e fiscalizará as empresas.

CONSIDERAÇÕES FINAIS

As empresas de pequeno porte frente a LGPD deve responder igualmente como as empresas de médio e grande porte e diante disto devem se preparar não somente para a adequação legal mas também para garantir processos governados por práticas que demonstrem e garantam aos titulares de dados a correta operação de seus ativos pessoais (seus dados).

(33)

O estudo realizado mostrou que empresas de pequeno porte podem se beneficiar da Governança de dados como meio para a implantação e gestão de dados e em especial dados pessoais.

Não obstante devem equilibrar a sua adoção à quantidade de recurso disponível na empresa, mas certamente é um importante guia para execução e uso de dados nas empresas.

O estudo esclarece em parte a questão acerca do desafio pois focou nos aspectos conceituais e devendo uma futura evolução da pesquisa centrar esforços na identificação das principais funções de gestão de dados em sua aplicação prática e aderente a capacidade de empresas de pequeno porte.

(34)

REFERÊNCIAS

ALVES, Gervânia. Ciclo de Vida dos Dados e LGPD. Blog Xpositum, 2019. Disponível em << https://www.xpositum.com.br/ciclo-de-vida-dos-dados-e-lgpd >>, acesso em 28.set.2020 ANGELONI, Maria Terezinha. Gestão do Conhecimento: Livro didático 4. ed, Palhoça, Unisul Virtual, 2013

BARBIERI, Carlos. Uma visão sintética e comentada do Data Management Body of

Knowledge (DMBOK). Fumsoft - Belo Horizonte, 2013.

CHIAVENATO, Idalberto. Introdução à teoria geral da administração: Uma visão

abrangente da moderna administração das organizações. 7. ed, Rio de Janeiro, Elsevier, 2003 FREITAS, Marcos André dos Santos. Fundamentos do gerenciamento de serviços de TI: preparatório para certificação ITIL® V3 Foundation, Rio de Janeiro, Brasport, 2010.

LAKATOS, Eva Maria. Fundamentos de metodologia científica. 5. ed, São Paulo, Atlas, 2003.

LUFT, Celso Pedro. Minidicionário Volume único. 20. ed, São Paulo, Ática, 2001.

MACIEL, Rafael Fernandes. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18), 1. Ed, Goiânia, RM Digital Education, 2019.

MALDONADO, Viviane Nóbrega. LGPD: Lei Geral de Proteção de Dados Pessoais: Manual de Implementação, 1. Ed, São Paulo, Thomson Reuters Brasil, 2019.

NAVITA, Big Data: O que é: Blog Navita Consultoria, 2019 Disponível em

<https://navita.com.br/blog/big-data-saiba-mais-sobre-o-conceito-e-definicao/#:~:text=De%20acordo%20com%20o%20Instituto,dados%20gerados%20todos%20 os%20dias.>, Acesso em 21.ago.2020

PACHECO, Ana Paula Reusing. Gestão estratégica I: livro didático 8. ed ver e atual, Palhoça, Unisul Virtual, 2008.

RAUEN, F. J. Roteiros de Investigação Científica. Tubarão, Unisul, 2002.

REGO, Bergson Lopes. Gestão e governança de dados: promovendo os dados como ativo de valor nas empresas, Rio de Janeiro, Brasport, 2013.

WEILL, Peter e Ross, Jeanne W. Governança de TI, Tecnologia da Informação, São Paulo, M. Books, 2006.

(35)

APÊNDICES

APÊNDICE A – Formulário de Entrevista - Ciclo de Vida dos Dados Pessoais

APENDICE - A Entrevistados Identificação Analista de TI A Analista de negócios 1 B Analista de negócios 2 C Supervisor de Marketing. D Diretor Financeiro. E

Nível de Aderência Classificação

Pouco ou em nenhum nível 1 Parcialmente 2

Em grande parte 3 3

Nã o aplicado 4

A B C D

Os dados coletados obedecem ao princípio da necessidade e finalidade?

Em relação aos demais dados de negócios há distinção ou identificação dos dados pessoais coletados?

Sobre os dados coletados em geral, há alguma identificação dos dados como metadados?

Considerando a sua finalidade é observado o correto tratamento dos dados? Há um claro conhecimento do fluxo de processamento dos dados e e clareza no compartilhamento com outros processos ou empresas?

É considerada a finalidade original da coleta dos dados para a análise?

A finalidade pelo qual os dados foram coletadaos é observado em um

reaproveitamento dos dados inclusive de pessoas físicas para entendimento de mercado ou de definição da estratégias?

Há algum critério ou política de uso de dados definidos na empresa? Os dados pessoias são distintos dos demais dados de negócio e identificados e classificados para sua aplicação?

Há nas políticas, procedimentos ou regulamentos para o compartilhamento de dados entre processos ou entre empresas?

Há uma correta segregação de dados de acordo com a aplicação e sua finalidade estabelecida?

Há alguma política ou prática apoiada em algum nível de governança que estabelece temporalidade dos dados?

Os controles sobre a temporalidade dos dados seguem critérios técnicos de gerenciamento dos bancos de dados ou baseados em políticas de governança de dados alinhados com o negócio?

Reutilização

Para a reuntilização dos dados feitas de acordo com a necessidade do negócio há observação da finalidade pelo qual o mesmo foi coletado e algum nível de

consentimento? Ex.: Campanhas, comunicação com clientes e consumidores, execução dos serviços relacionados

Eliminação Há alguma regra formal ou não que defina sobre a obrigatoriedade de dados serem eliminados? Compartilhamento Armazanemento Coleta Processamento Análise

Formulário de Entrevista - Ciclo de Vida dos Dados Pessoais

(36)

APÊNDICE B – Formulário de Entrevista – Visão da Gestão sobre Governança de Dados

APENDICE B

(SIM / NÃO) Complemento

01 A Governança de dados está na pauta do diretivo da empresa?

02 Há um plano de adequação à LGPD em curso?

03

04

05 Qual área da empresa direciona os esforços de governança de dados?

06 Há profissional dedicado para a governça de dados? Não havendo tem a intenção de contratar?

07 Ao seu ver a governança de dados pode ser uma aliada à adequação da empresa à LGPD?

08 Identifica oportunidades adicionais da governança de dados na empresa? Quais?

09 Reconhece a importância dos dados no funcionamento da empresa como um insumo de valor?

Resposta

Formulário de Entrevista – Visão da Gestão sobre a Governança de Dados

(37)

APÊNDICE C – Formulário de Entrevista – Visão da Gestão sobre Governança de Dados

APENDICE C

Entrevistado :

(SIM / NÃO) Complemento

01 Ao seu ver a governança de dados pode ajudar na melhoria da qualidade de dados para análise e evolução do negócio?

02

03

Consegue identificar vantagem competitiva a partir da Governança na gestão dos dados melhorando a resposta a demandas de negócios e na sua análise?

04 Vê a Governança de dados e seus principios apoiando na proteção e transparência das informações?

05 A governança de dados como função de gestão pode apoiá-los na redução de custos e melhoria de processos.

06

Identifica na Governança de Dados potencial de apoio à integração e compartilhamento de dados entre sistemas de informação como ERP, CRMs e demais sistemas proprietários da empresa?

Formulário de Entrevista – Visão da Execução da Governança de Dados